HOW TO:MSDEシステム管理者パスワードの検証と変更
本タスクの内容
•
概要
•
SAパスワードが空であることを確認する方法
•
SAパスワードの変更方法
•
認証モードの決定または変更方法
•
SQL Serverインストールのセキュリティ・ベスト・プラクティス
•
リファレンス
このページの内容
概要
リファレンス
概要
ここでは、SQLサーバの変更に使用できることについて手順を追って説明します.
sa(システム管理者)パスワードの手順.
MicrosoftSQL Server Desktop Engine(MSDE)2000以降のバージョンは、ハイブリッド認証モードで実行するように構成できます.
saアカウントはインストール中に作成され、
saにはSQLサーバ環境での完全な権限があります.デフォルトでは、
MSDEインストーラの実行中にパスワードを変更しない限り、saパスワードは空(NULL)です.セキュリティ・ベスト・プラクティスの要件を満たすには、最初の使用時に
saパスワードを強いパスワードに変更します.
先頭に戻る
SAパスワードが空であることを確認する方法
1.
接続中のMSDEインスタンスのホストコンピュータで、コマンドプロンプトウィンドウを開きます.
2.
コマンドプロンプトに次のコマンドを入力し、Enterキーを押します.osql-UsaはsaアカウントでMSDEのローカルデフォルトインスタンスに接続できます.コンピュータにインストールされている名前付きインスタンスに接続するには、osql-U sa-S servernameinstancenameと入力します.次のプロンプトが表示されます.Password:
3.
もう一度Enterキーを押します.これにより、saにNULL(空)パスワードが渡されます.Enterキーを押して次のプロンプトが表示された場合、saアカウントにパスワードがありません.1>セキュリティ・スキームの要件を満たすために、Microsoftは空でない強力なパスワードを作成することをお勧めします.ただし、次のエラーメッセージが表示されると、入力したパスワードが正しくありません.このエラーメッセージは、saアカウントにパスワードが作成されたことを示します.
"Login Failed for user 'sa'."
次のエラーメッセージは、SQL Serverを実行するコンピュータがWindows認証のみに設定されていることを示します.
Login failed for user 'sa'.Reason:Not associated with a trusted SQL Server connection.
Windows認証モードではsaパスワードを検証できません.ただし、saパスワードを作成して、saアカウントが後で認証モードをブレンドモードに変更しても安全になります.次のエラーメッセージが表示された場合は、SQLサーバーが実行されていない可能性があるか、インストールされているSQLサーバーの名前付きインスタンスにエラー名が指定されている可能性があります.
[Shared Memory]SQL Server does not exist or access denied.
[Shared Memory]ConnectionOpen (Connect()).
先頭に戻る
SAパスワードの変更方法
1.
接続中のMSDEインスタンスのホストコンピュータで、コマンドプロンプトウィンドウを開きます.
2.
次のコマンドを入力し、Enterキーを押します.osql-UsaはPassword:プロンプトの下でEnterキーを押すか(パスワードが空の場合)、現在のパスワードを入力します.これにより、saアカウントを使用してMSDEのローカルデフォルトインスタンスに接続できます.Windows認証を使用して接続するには、このコマンドを入力します:use osql-E
3.
個々の行に次のコマンドを入力し、Enterキー
Password changed.
先頭に戻る
認証モードの決定または変更方法
重要:この文書には、レジストリの変更に関する情報が含まれています.レジストリを変更する前に、レジストリをバックアップし、問題が発生したときにレジストリを復元する方法を知っておく必要があります.レジストリのバックアップ、リストア、編集方法については、次の文書番号をクリックしてMicrosoft Knowledge Baseの対応する文書を表示します.
256986 Microsoft Windowsレジストリの説明
警告:レジストリエディタの使用が適切でないと、OSの再インストールが必要になる可能性があります.Microsoftでは、レジストリエディタの不適切な使用による問題を解決できる保証はありません.レジストリエディタを使用するには、リスクを負担する必要があります.
MSDEインストールの認証モードを検証する方法が不明な場合は、対応するレジストリ・アイテムを表示できます.デフォルトでは、Windows認証、Windows
LoginModeレジストリ・サブアイテムの値は1に設定されます.ブレンドモード認証が有効な場合は、この値は2です.
•
LoginModeサブアイテムの場所は、MSDEをデフォルトのMSDEインスタンスとしてインストールするか、名前付きインスタンスとしてインストールするかによって異なります.MSDEがデフォルトのインスタンスとしてインストールされている場合、LoginModeサブアイテムは次のレジストリサブアイテムにあります.
HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
•
MSDEがネーミング・インスタンスとしてインストールされている場合、LoginModeサブアイテムは次のレジストリ・サブアイテムにあります.
HKLM\Software\Microsoft\Microsoft SQL Server\%InstanceName%\MSSQLServer\LoginMode
注:認証モードを切り替える前に、設定する必要があります.
saパスワードは、潜在的なセキュリティ・ホールを暴露しないようにします.
その他の情報については、次の文書番号をクリックしてMicrosoft Knowledge Baseの該当する文書を表示します.
274773 FIX:If You Change Windows Security to Windows/SQL Security the SA Password is Blank
ハイブリッドモードから統合(Windows)認証モードに切り替えるには、次の手順に従います.
1.
MSSQLSERVERおよびSQLSERVERAgentなどのその他の関連サービスを停止するには、コントロールパネルでサービスプログラムを開きます.
2.
レジストリエディタを開きます.レジストリエディタを開くには、「≪実行|Go|emdw≫」をクリックし、「≪実行|Run|emdw≫」をクリックし、「≪regedt 32|emdw≫」と入力します(引用符は含まれません)「≪OK|OK|emdw≫」をクリックします.
3.
MSDEがデフォルトのMSDEインスタンスとしてインストールされているか、名前付きインスタンスとしてインストールされているかによって、次の2つのサブアイテムの1つが見つかります.
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer
-または-
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\\MSSQLServer\
4.
右ウィンドウ枠で、LoginModeサブアイテムをダブルクリックします.
5.
DWORDエディタダイアログボックスで、このサブアイテムの値を1に設定します.Hexオプションが選択されていることを確認し、「OK」をクリックします.
6.
変更を有効にするには、MSSQLSERVERおよびSQLSERVERAgentサービスを再起動します.
先頭に戻る
SQL Serverがインストールするベスト・セキュリティ・スキームの下の各項目は、システムのセキュリティを強化し、SQL Serverがインストールする標準的なセキュリティ「ベスト・スキーム」に属します.
•
非空のパスワードを使用してsaログインアカウントを保護します.一部のワームプログラムは、saログインアカウントにセキュリティ措置を取らない場合にのみ発生します.その他の情報については、次の文書番号をクリックしてMicrosoft Knowledge Baseの該当する文書を表示します.
313418 PRB:NULL SAパスワードを使用した安全でないSQL Serverはワームプログラムに乗算可能なマシンを与える
そのため、内蔵saアカウントに強いパスワードがあることを確認するには、saアカウントを直接使用していない場合でも、SQL Serverオンライン叢書の「システム管理者(SA)ログイン」トピックの推奨に従って操作する必要があります.
•
Internetゲートウェイにあるポート1433をブロックし、SQL Serverリスニング代替ポートを割り当てる.
•
インターネットゲートウェイでポート1433を使用する必要がある場合は、ポートの誤使用を防ぐために、出入りフィルタ機能を有効にします.
•
SQLServerサービスおよびSQL Serverエージェントは、ローカルシステムアカウントではなくMicrosoft Windows NTアカウントの下で実行されます.
•
Microsoft Windows NT認証を有効にし、ログインの成功と失敗のレビューを有効にします.その後、MSSQLServerサービスを停止して再起動します.Windows NT認証を使用してクライアントを構成します.
先頭に戻る
リファレンス
空のsaパスワードがどのように使用されるかについては、次の文書番号をクリックしてMicrosoft Knowledge Baseの対応する文書を表示します.
313418 PRB:NULL SAパスワードを使用した安全でないSQL Serverはワームプログラムに乗算可能なマシンを与える
認証モードの変更時のSQL Server 2000 Service Pack 1以降の動作の変更については、次の文書番号をクリックしてMicrosoft Knowledge Baseの該当する文書を表示します.
274773 FIX:If You Change Windows Security to Windows/SQL Security the SA Password is Blank
•
概要
•
SAパスワードが空であることを確認する方法
•
SAパスワードの変更方法
•
認証モードの決定または変更方法
•
SQL Serverインストールのセキュリティ・ベスト・プラクティス
•
リファレンス
このページの内容
概要
リファレンス
概要
ここでは、SQLサーバの変更に使用できることについて手順を追って説明します.
sa(システム管理者)パスワードの手順.
MicrosoftSQL Server Desktop Engine(MSDE)2000以降のバージョンは、ハイブリッド認証モードで実行するように構成できます.
saアカウントはインストール中に作成され、
saにはSQLサーバ環境での完全な権限があります.デフォルトでは、
MSDEインストーラの実行中にパスワードを変更しない限り、saパスワードは空(NULL)です.セキュリティ・ベスト・プラクティスの要件を満たすには、最初の使用時に
saパスワードを強いパスワードに変更します.
先頭に戻る
SAパスワードが空であることを確認する方法
1.
接続中のMSDEインスタンスのホストコンピュータで、コマンドプロンプトウィンドウを開きます.
2.
コマンドプロンプトに次のコマンドを入力し、Enterキーを押します.osql-UsaはsaアカウントでMSDEのローカルデフォルトインスタンスに接続できます.コンピュータにインストールされている名前付きインスタンスに接続するには、osql-U sa-S servernameinstancenameと入力します.次のプロンプトが表示されます.Password:
3.
もう一度Enterキーを押します.これにより、saにNULL(空)パスワードが渡されます.Enterキーを押して次のプロンプトが表示された場合、saアカウントにパスワードがありません.1>セキュリティ・スキームの要件を満たすために、Microsoftは空でない強力なパスワードを作成することをお勧めします.ただし、次のエラーメッセージが表示されると、入力したパスワードが正しくありません.このエラーメッセージは、saアカウントにパスワードが作成されたことを示します.
"Login Failed for user 'sa'."
次のエラーメッセージは、SQL Serverを実行するコンピュータがWindows認証のみに設定されていることを示します.
Login failed for user 'sa'.Reason:Not associated with a trusted SQL Server connection.
Windows認証モードではsaパスワードを検証できません.ただし、saパスワードを作成して、saアカウントが後で認証モードをブレンドモードに変更しても安全になります.次のエラーメッセージが表示された場合は、SQLサーバーが実行されていない可能性があるか、インストールされているSQLサーバーの名前付きインスタンスにエラー名が指定されている可能性があります.
[Shared Memory]SQL Server does not exist or access denied.
[Shared Memory]ConnectionOpen (Connect()).
先頭に戻る
SAパスワードの変更方法
1.
接続中のMSDEインスタンスのホストコンピュータで、コマンドプロンプトウィンドウを開きます.
2.
次のコマンドを入力し、Enterキーを押します.osql-UsaはPassword:プロンプトの下でEnterキーを押すか(パスワードが空の場合)、現在のパスワードを入力します.これにより、saアカウントを使用してMSDEのローカルデフォルトインスタンスに接続できます.Windows認証を使用して接続するには、このコマンドを入力します:use osql-E
3.
個々の行に次のコマンドを入力し、Enterキー
sp_password @old = null, @new = 'complexpwd', @loginame ='sa'
go
を押します.注意:complexpwdが新しい強力なパスワードに置き換えられていることを確認します.強力なパスワードには、アルファベット数字と特殊文字、大文字と小文字の組み合わせが含まれます.パスワードの変更に成功したことを示すプロンプトが表示されます.Password changed.
先頭に戻る
認証モードの決定または変更方法
重要:この文書には、レジストリの変更に関する情報が含まれています.レジストリを変更する前に、レジストリをバックアップし、問題が発生したときにレジストリを復元する方法を知っておく必要があります.レジストリのバックアップ、リストア、編集方法については、次の文書番号をクリックしてMicrosoft Knowledge Baseの対応する文書を表示します.
256986 Microsoft Windowsレジストリの説明
警告:レジストリエディタの使用が適切でないと、OSの再インストールが必要になる可能性があります.Microsoftでは、レジストリエディタの不適切な使用による問題を解決できる保証はありません.レジストリエディタを使用するには、リスクを負担する必要があります.
MSDEインストールの認証モードを検証する方法が不明な場合は、対応するレジストリ・アイテムを表示できます.デフォルトでは、Windows認証、Windows
LoginModeレジストリ・サブアイテムの値は1に設定されます.ブレンドモード認証が有効な場合は、この値は2です.
•
LoginModeサブアイテムの場所は、MSDEをデフォルトのMSDEインスタンスとしてインストールするか、名前付きインスタンスとしてインストールするかによって異なります.MSDEがデフォルトのインスタンスとしてインストールされている場合、LoginModeサブアイテムは次のレジストリサブアイテムにあります.
HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
•
MSDEがネーミング・インスタンスとしてインストールされている場合、LoginModeサブアイテムは次のレジストリ・サブアイテムにあります.
HKLM\Software\Microsoft\Microsoft SQL Server\%InstanceName%\MSSQLServer\LoginMode
注:認証モードを切り替える前に、設定する必要があります.
saパスワードは、潜在的なセキュリティ・ホールを暴露しないようにします.
その他の情報については、次の文書番号をクリックしてMicrosoft Knowledge Baseの該当する文書を表示します.
274773 FIX:If You Change Windows Security to Windows/SQL Security the SA Password is Blank
ハイブリッドモードから統合(Windows)認証モードに切り替えるには、次の手順に従います.
1.
MSSQLSERVERおよびSQLSERVERAgentなどのその他の関連サービスを停止するには、コントロールパネルでサービスプログラムを開きます.
2.
レジストリエディタを開きます.レジストリエディタを開くには、「≪実行|Go|emdw≫」をクリックし、「≪実行|Run|emdw≫」をクリックし、「≪regedt 32|emdw≫」と入力します(引用符は含まれません)「≪OK|OK|emdw≫」をクリックします.
3.
MSDEがデフォルトのMSDEインスタンスとしてインストールされているか、名前付きインスタンスとしてインストールされているかによって、次の2つのサブアイテムの1つが見つかります.
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer
-または-
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\
4.
右ウィンドウ枠で、LoginModeサブアイテムをダブルクリックします.
5.
DWORDエディタダイアログボックスで、このサブアイテムの値を1に設定します.Hexオプションが選択されていることを確認し、「OK」をクリックします.
6.
変更を有効にするには、MSSQLSERVERおよびSQLSERVERAgentサービスを再起動します.
先頭に戻る
SQL Serverがインストールするベスト・セキュリティ・スキームの下の各項目は、システムのセキュリティを強化し、SQL Serverがインストールする標準的なセキュリティ「ベスト・スキーム」に属します.
•
非空のパスワードを使用してsaログインアカウントを保護します.一部のワームプログラムは、saログインアカウントにセキュリティ措置を取らない場合にのみ発生します.その他の情報については、次の文書番号をクリックしてMicrosoft Knowledge Baseの該当する文書を表示します.
313418 PRB:NULL SAパスワードを使用した安全でないSQL Serverはワームプログラムに乗算可能なマシンを与える
そのため、内蔵saアカウントに強いパスワードがあることを確認するには、saアカウントを直接使用していない場合でも、SQL Serverオンライン叢書の「システム管理者(SA)ログイン」トピックの推奨に従って操作する必要があります.
•
Internetゲートウェイにあるポート1433をブロックし、SQL Serverリスニング代替ポートを割り当てる.
•
インターネットゲートウェイでポート1433を使用する必要がある場合は、ポートの誤使用を防ぐために、出入りフィルタ機能を有効にします.
•
SQLServerサービスおよびSQL Serverエージェントは、ローカルシステムアカウントではなくMicrosoft Windows NTアカウントの下で実行されます.
•
Microsoft Windows NT認証を有効にし、ログインの成功と失敗のレビューを有効にします.その後、MSSQLServerサービスを停止して再起動します.Windows NT認証を使用してクライアントを構成します.
先頭に戻る
リファレンス
空のsaパスワードがどのように使用されるかについては、次の文書番号をクリックしてMicrosoft Knowledge Baseの対応する文書を表示します.
313418 PRB:NULL SAパスワードを使用した安全でないSQL Serverはワームプログラムに乗算可能なマシンを与える
認証モードの変更時のSQL Server 2000 Service Pack 1以降の動作の変更については、次の文書番号をクリックしてMicrosoft Knowledge Baseの該当する文書を表示します.
274773 FIX:If You Change Windows Security to Windows/SQL Security the SA Password is Blank